Re: SSH-Security-Check a la ssllabs.com/ssltest

Forside
Vedhæftede filer:
Indlæg som e-mail
+ (text/plain)
Slet denne besked
Besvar denne besked
Skribent: Sven Velt
Dato:  
Til: list
Emne: Re: SSH-Security-Check a la ssllabs.com/ssltest
Martin Steigerwald wrote:
> [...]
> Macht das etwas anderes als ssh-audit, paketiert unter dem gleichen
> Namen in Debian? Das ist übrigens Python :)


Wald, Bäume. Danke! Genau sowas hab ich gesucht!

> [...]
> > Wer, auf der anderen Seite, Tipps zum weiteren Absichern für's SSH
> > (Server und Client) braucht:
> >
> > - https://stribika.github.io/2015/01/04/secure-secure-shell.html
> > - https://github.com/stribika/stribika.github.io/wiki/Secure-Secure-> Shell
> > - und natürlich https://blog.fefe.de/?ts=aa52d8da :D
>
> In dem FEFE Blog Link finde ich beim Drüberfliegen nur Blabla über andere
> Themen.


Sicher, dass Du den Link GANZ kopiert hast?! Kurzfassung: Er traut nur
DJB und Ed25519 und schmeißt für seine Server alles andere raus.

> [[ compact ]]
> https://bettercrypto.org/
> https://ssl-config.mozilla.org/
> https://observatory.mozilla.org


https://cipherli.st/ gibt's auch noch ;)

> [...]
> Achja, und SSHGuard oder Fail2Ban, wobei Fail2Ban wohl deutlich flexibler
> ist. Ich hab noch SSHGuard am Start, funktioniert aber, obwohl es
> sollte, mit Dovecot nicht – wo ich laut Protokoll immer wieder Leute
> oder Skripte habe, die es versuchen. Und Apache mit mod-evasive.


Mit mod_evasive hast Du mir damals den Monitoring-Server kaputt gemacht!
Geh weg damit :D Nein, ganz klar, wenn das richtig(!) konfiguriert ist
und die Web-Seite/Web-App es zulässt, dann ist das durchaus 'ne
Möglichkeit. Es blind zu verwenden ist aber sinnfrei. Genauso wie
mod_security und ein Wiki, in dem man SQL erklären will *g*

> Achja, Clients habe ich auch gesichert, und dann insbesondere für die
> Arbeit Ausnahmen geschaffen, weil SSH-Server nicht aktuell genug waren.
> :)


Jup, natürlich. Das gehört auch dazu. Und man kann am ssh-Client echt
auch einiges machen...

---------- snip ----------

Addendum zu meinem Sermon von eben:

> Laut ssh-audit auf Deine Domain velt.de mit mir bekannten Port besteht
> da durchaus Verbesserungspotential. Sowohl in Bezug auf die
> Kryptographie als auch in Bezug auf die verwendete Debian-Version :)


Schuster, Schuhe :-/

Eigentlich sollte die Kiste schon 'n Jahr nicht mehr existieren, die
neue Kiste ist auch schon halb eingerichtet. Aber eben nur halb. Aber
wenn wir schon dabei sind, Dein (zumindest damals) verwendeter Port ist
inzwischen auch in diversen SSH-Scannern drin -- hat mir ein Freund
gesagt *pfeiff*

Bye & THX für Deinen Beitrag!

Sven

-- 
Leukämie    → http://de.wikipedia.org/wiki/Leuk%C3%A4mie
Heilung     → http://de.wikipedia.org/wiki/Knochenmark#Knochenmarkspende
Typisierung → https://akb.de/online-registrierung/ https://zkrd.de/de/adressen/
Fragen?     → sven@???
-- 
Mailing-Liste der Linux User Schwabach (LUSC) e.V.
Vor und beim Posten bitte
        => http://lusc.de/List-Netiquette <=    und
        => http://lusc.de/List-Howto      <=    beachten. Danke!